最終更新日　2008年5月15日
掲載日　2008年5月15日
>> ENGLISH

　近年、ウェブサイトを狙ったSQLインジェクション攻撃が急増しています。特に2008年3月頃より、有限責任中間法人 JPCERT コーディネーションセンター（JPCERT/CC）^(*1)や内外の情報セキュリティ対策企業が、SQLインジェクション攻撃によるウェブサイトの改ざんや不正コードを仕掛けられたページ数が数十万に達している旨の注意喚起を相次いで発表しています。また、5月6日には、SQLインジェクション攻撃を行う悪質プログラム（ワーム）が確認された旨の注意喚起を米国SANS Institute^(*2)が実施しています。IPAに届出られたウェブサイト（ウェブアプリケーション）の脆弱性の約3割がSQLインジェクションの脆弱性となっています^(*3)。

　SQL(Structured Query Language)とは、データベースへの問合わせ(Query)命令文を組立てて(Structured)実行するために、ウェブアプリケーションが使用しているコンピュータの言語(Language)です。ウェブアプリケーションの多くは利用者からの入力情報を基にSQL文を組立てています。この組み立て方法に問題があると、悪意を持って細工されたSQL文もデータベースへの問い合わせの一部として埋め込んで（Injection）しまう可能性があります。この問題を悪用した攻撃をSQLインジェクション攻撃と呼んでいます。攻撃された場合、データベースに蓄積された情報の漏えい・改ざん、不正操作などの脅威があります^(*4)。

　このため、データベースを利用しているウェブサイトの運営者は、SQLインジェクション攻撃によりウェブサイトに被害が発生していないか、ウェブサーバのアクセスログを常に調査し、攻撃があった場合は、データベースに認知していないリンクが含まれていないかを確認する必要があります。また、ウェブサイトの脆弱性検査を行い、脆弱性対策を講ずることが必要です。

　IPAでは、SQLインジェクション攻撃への対策を、「安全なウェブサイトの作り方」で公開しています。また、SQLインジェクション脆弱性の検出を簡易に行うツール「iLogScanner」を4月18日に公開しました^(*5)。このツールは、ウェブサーバのアクセスログの中から、SQLインジェクション攻撃によく用いられる文字列を検出し、ウェブサイトが日頃どれだけの攻撃を受けているか、また、ウェブサイトの脆弱性により攻撃が成功した可能性があるかを解析する簡易ツールです。

　例えば、IPAで公開しているオープンソース情報データベース「OSS iPedia^(*6)」の2008年1月から4月のアクセスログを「iLogScanner」で解析したところ、合計44件のSQLインジェクション攻撃を検出しました。攻撃に成功した件数は0件でしたが、図1に示すように、4月は29件のSQLインジェクション攻撃があり、1〜3月に比べて増加しています。

　「iLogScanner」は、ブラウザ上で実行するJavaアプレット形式のツールであり、誰でも簡単に使用することができます。4月18日の公開以来、2千件を超えるダウンロードを記録しています。なお、「iLogScanner」は簡易ツールであり、実際の攻撃による脆弱性検査は行っていません。攻撃が検出されない場合でも安心せずに、ウェブサイトの脆弱性検査を行うことを推奨します。また、ウェブサイトの開発者やセキュリティ企業が、「iLogScanner」を取引先等に紹介され、それぞれの顧客システムのセキュリティ向上の契機となることを期待します。

 

 

『脚注』

（参考情報）

本件に関するお問い合わせ先

報道関係からのお問い合わせ先

更新履歴